Verrouiller le service Server (2)

les ordinateurs
qui ne sont pas des serveurs de fichiers
– par exemple, les serveurs
d’ERP (enterprise resource planning)
ou de base de données, les utilisateurs
n’auront peut-être pas besoin d’accéder
au système de fichiers ou aux
autres ressources offertes par le service
Server. Dans ce cas, vous pouvez
restreindre le droit Access this computer
from the network aux administrateurs
et aux autres comptes qui se
connectent aux dossiers partagés ou à 
d’autres ressources Win2K sur l’ordinateur.

Deuxièmement, pour les serveurs
de fichiers et autres ordinateurs sur
lesquels il faut que le service Server soit disponible, demandez-vous si tous
les membres présents dans la forêt ont
vraiment besoin de cet accès. En règle
générale, seul un sous-ensemble d’utilisateurs
(c’est-à -dire, un département
ou un groupe particulier) a besoin
d’accéder au serveur. Par défaut, le
groupe Everyone, qui comprend tous
les utilisateurs de la forêt a le droit
Access this computer from the network.
En transmettant ce droit à  un
sous-ensemble d’utilisateurs, on peut
limiter les comptes que les intrus pourraient
utiliser pour attaquer votre serveur
par l’intermédiaire du service
Server.

Troisièmement, instaurez une stratégie
de défense en profondeur.
N’oubliez pas que les mesures de sécurité
de base, comme de strictes permissions
de fichier, sont très efficaces
pour endiguer la diffusion d’un virus.
Limitez les permissions Write et Create
dans tout le domaine aux seuls utilisateurs
qui en ont vraiment besoin et appliquez
au maximum le principe du
moindre privilège.